informe eliseref

Cerrado
impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

informe eliseref

Mensaje por impulsiu » 14 Feb 2012, 21:36

pego el informe del elisirefef en modo normal me lo ha pasasdo pero me han salido 5 accesos denegados y ceo que uno de ellos era donde estaba el sirefef, o se aunque el infome dice que no ha podido acceder a la carpeta del posible sirefef, me han salido:



acceso denegado a





[b]C:\WINDOWS\$NtUninstallKB25334$[/b] noes aqui donde dice que esta el sirefef ?



C:\WINDOWS\registration\crmlog (16)



C:\WINDOWS\system32\logfiles\wmi\rtbackup (16)



C:\WINDOWS\system32\com\dmp (16)



C:\WINDOWS\$NtUninstallKB25334$



(14-2-2012 02:12:35 (GMT))

EliStartPage v24.82 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2012)

--------------------------------------------------

Usuario: Usuari

ID de Usuario: S-1-5-21-274418977-211258140-1436964868-1000



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB25334$"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-2-2012 02:13:37 (GMT))

EliStartPage v24.82 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2012)

--------------------------------------------------

Usuario: Usuari

ID de Usuario: S-1-5-21-274418977-211258140-1436964868-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 124

Nº Total de Ficheros: 2519

Nº de Ficheros Analizados: 716

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(14-2-2012 02:20:47 (GMT))

EliStartPage v24.82 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2012)

--------------------------------------------------

Usuario: Usuari

ID de Usuario: S-1-5-21-274418977-211258140-1436964868-1000



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB25334$"

Eliminados Ficheros Temporales del IE



(14-2-2012 02:23:08 (GMT))

EliStartPage v24.82 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2012)

--------------------------------------------------

Usuario: Usuari

ID de Usuario: S-1-5-21-274418977-211258140-1436964868-1000



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB25334$"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(14-2-2012 02:43:32 (GMT))

EliStartPage v24.82 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2012)

--------------------------------------------------

Usuario: Usuari

ID de Usuario: S-1-5-21-274418977-211258140-1436964868-1000



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 27415

Nº Total de Ficheros: 217828

Nº de Ficheros Analizados: 47930

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-2-2012 16:04:05 (GMT))

EliSirefef v1.54 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.



(14-2-2012 18:36:54 (GMT))

EliSirefef v1.54 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB25334$



(14-2-2012 19:42:22 (GMT))

EliSirefef v1.54 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 27233

Nº Total de Ficheros: 215611

Nº de Ficheros Analizados: 25829

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(14-2-2012 20:13:36 (GMT))

EliSirefef v1.54 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 27233

Nº Total de Ficheros: 215617

Nº de Ficheros Analizados: 25829

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



que puedo hacer ahora si no lo ha eliminado ?



y los otros 4 accesos denegados ?



gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: informe eliseref

Mensaje por msc hotline sat » 15 Feb 2012, 09:17

Solo el acceso denegado a la carpeta $NtUninstallKB25334$ es por culpa del SIREFEF. Los otros pueden serlo por otras causas, especialmente por su sistema operativo, sin mas importancia en su caso.



Y el que encontrando la carpeta, no detectemos el driver .SYS malicioso puede ser porque sea una variante nueva que no conozcamos o porque no conozcamos la DLL que lo oculta, pues el SIREFEF es un ROOTKIT que utiliza varios sistemas de ocultamiento.



De entrada empieza por probar la version actual, ELISIREF 1.55, que puede ser que ya lo contemple, y si ni asi, descarga el SPROCES, lo guardas y tras ejecutarlo pulsa en SALIR y nos posteas con un copiar y pegar el contebnido del informe resultante, C:\sproclog.txt , y buscaremos cual puede ser ahora.


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]


lo analizaremos e informaremos al respecto.



saludos



ms, 15-2-2012

impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: informe eliseref

Mensaje por impulsiu » 15 Feb 2012, 12:27

de acuerdo pero el nuevo elisiresef lo paso en modo seguro ? o si no desconecto el av ?



gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: informe eliseref

Mensaje por msc hotline sat » 15 Feb 2012, 14:52

El arranque da igual, pues al estar el SIREFEF en un driver .SYS , se carga igualmente, pero eso sí, desactiva el antivirus para que no incordie.



saludos



ms, 15-2-2012

impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: informe eliseref

Mensaje por impulsiu » 15 Feb 2012, 23:22

te pego nuevo informe



(15-2-2012 21:24:02 (GMT))

EliSirefef v1.55 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB25334$



(15-2-2012 22:16:56 (GMT))

EliSirefef v1.55 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 27494

Nº Total de Ficheros: 221200

Nº de Ficheros Analizados: 25990

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



y aparta que tampoco ha podido acceder al acceso denegado que menciona han salido los 4 qu te dije en la respuesta anterior



C:\WINDOWS\registration\crmlog (16)



C:\WINDOWS\system32\logfiles\wmi\rtbackup (16)



C:\WINDOWS\system32\com\dmp (16)



C:\WINDOWS\spool\printers



ahora descargo y paso el sproces ?

impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: informe eliseref

Mensaje por impulsiu » 16 Feb 2012, 02:14

pego el sproces :!: , he mirado la cuarentena del avira y tambien esta, a parte de otros...quieres saber algo del avira o de lo que hay en cuarentena, lo digo por si puede ayudar ? :?:





(16-2-2012 01:13:36 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows Vista (TM) Home Basic (v6.0.6002)

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v9.0.8112.16421) 0

Equipo: VISTA1

Usuario: Usuari

Sesión de Usuario: Usuari



66 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WININIT.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\LSM.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\AUDIODG.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SLSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\PROGRAM FILES\AVIRA\ANTIVIR DESKTOP\SCHED.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\TASKENG.EXE

C:\WINDOWS\SYSTEM32\DWM.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\TASKENG.EXE

C:\PROGRAM FILES\COMMON FILES\ADOBE\ARM\1.0\ARMSVC.EXE

C:\PROGRAM FILES\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE12\GROOVEMONITOR.EXE

C:\PROGRAM FILES\MICROSOFT\BINGBAR\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\PROGRAM FILES\CREATIVE\SHARED FILES\CTDEVSRV.EXE

C:\WINDOWS\SYSTEM32\FSUSBEXSERVICE.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\PROGRAM FILES\AVIRA\ANTIVIR DESKTOP\AVSHADOW.EXE

C:\PROGRAM FILES\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\PROGRAM FILES\PINNACLE\SHARED FILES\PROGRAMS\USBTIP\USBTIP.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\PROGRAM FILES\AVIRA\ANTIVIR DESKTOP\AVGNT.EXE

C:\PROGRAM FILES\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE

C:\PROGRAM FILES\CREATIVE\SOFTWARE UPDATE 3\SOFTAUTO.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHINDEXER.EXE

C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNSCFG.EXE

C:\WINDOWS\SYSTEM32\WBEM\UNSECAPP.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIPRVSE.EXE

C:\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPNETWK.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CONIME.EXE

C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.0\WPF\PRESENTATIONFONTCACHE.EXE

C:\WINDOWS\SYSTEM32\IGFXEXT.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\GOOGLE\GOOGLE TOOLBAR\GOOGLETOOLBARUSER_32.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\WUDFHOST.EXE

C:\WINDOWS\SYSTEM32\TASKENG.EXE

C:\WINDOWS\SYSTEM32\MOBSYNC.EXE

C:\WINDOWS\SYSTEM32\SEARCHFILTERHOST.EXE

C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

C:\USERS\USUARI\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ig

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

R3 - URLSearchHook: (no name) - {0974848a-b5bc-49f2-9778-307742b4a55d} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Auxiliar d'inici de sessió del Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll"

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll"

O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Program Files\Creative\Software Update 3\SoftAuto.exe"

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [USBToolTip] C:\PROGRA~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE /tsr

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WPCLSP.DLL

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://web.atar.rima-tde.net/sdccommon/download/tgctlcm.cab

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {2DAB6EF1-66C3-427C-87CD-8DC448C47EAE} (CtlTGVI Class) - https://www5.aeat.es/es13/h/tgvicab.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {8FD07749-EFFA-48C6-947C-45A8D7BF422F} (CLVistaGenie Control) - http://www.cyberlink.com/prog/vista/prog/CLVistaGenie.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {947B00D2-962D-4A35-9E48-98EE6A442B41} (OAdedinet Class) - https://www1.agenciatributaria.gob.es/ADUA/internet/aded1503.cab

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.movistar.es/o1/http/WSClient.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www1.agenciatributaria.gob.es/es13/h/cactivex.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_24) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A3AE5394-D61E-45A3-A8C3-C4BA8AB6978F}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\System32\webcheck.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll



Información Adicional:

----------------------

.scr: AutoCADScriptFile -> C:\Windows\system32\notepad.exe "%1"

WinSys\Drivers\adp94xx.sys (de 420968 bytes) () Adaptec, Inc.

WinSys\Drivers\athrusb.sys (de 904192 bytes) () Atheros Communications, Inc.

WinSys\Drivers\dxgkrnl.sys (de 638336 bytes) () Microsoft Corporation

WinSys\Drivers\hdaudbus.sys (de 561152 bytes) () Microsoft Corporation

WinSys\Drivers\http.sys (de 411648 bytes) () Microsoft Corporation

WinSys\Drivers\ksecdd.sys (de 440192 bytes) () Microsoft Corporation

WinSys\Drivers\ndis.sys (de 527848 bytes) () Microsoft Corporation

WinSys\Drivers\O4501U.sys (de 449024 bytes) ()

WinSys\Drivers\PEAuth.sys (de 878080 bytes) () Microsoft Corporation

WinSys\Drivers\ql2300.sys (de 900712 bytes) () QLogic Corporation

WinSys\Drivers\spsys.sys (de 684032 bytes) () Microsoft Corporation

WinSys\Drivers\tcpip.sys (de 913280 bytes) () Microsoft Corporation

WinSys\Drivers\Wdf01000.sys (de 503864 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: avgntflt - Avira GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\avgntflt.sys

O23 - Service: Bing Bar Update Service (BBSvc) - Microsoft Corporation. - C:\Program Files\Microsoft\BingBar\BBSvc.EXE

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe

**O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (Eventlog) - Unknown owner - %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted - C:\WINDOWS\SYSTEM32\NULL1 (file missing)

O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Net Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\Windows\system32\HPZinw12.dll

O23 - Service: Pml Driver HPZ12 - Hewlett-Packard - %SystemRoot%\System32\svchost.exe -k HPZ12 - C:\Windows\system32\HPZipm12.dll

**O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - %SystemRoot%\System32\svchost.exe -k secsvcs - %ProgramFiles%\Windows Defender\mpsvc.dll (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ASAPIW2K - VOB Computersysteme GmbH - C:\Windows\system32\Drivers\asapiW2k.sys

O23 - Service: Atheros Wireless LAN USB device driver (athrusb) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\athrusb.sys

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbser.sys

O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe

O23 - Service: dgderdrv - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\dgderdrv.sys (file missing)

O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\E1G60I32.sys

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: FsUsbExDisk - Unknown owner - C:\Windows\system32\FsUsbExDisk.SYS

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: hpqcxs08 - Hewlett-Packard Co. - %SystemRoot%\system32\svchost.exe -k hpdevmgmt - C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: igfx - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd32.sys

O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

O23 - Service: Pinnacle Marvin Bus (MarvinBus) - Pinnacle Systems GmbH - C:\WINDOWS\SYSTEM32\DRIVERS\MarvinBus.sys

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

O23 - Service: 802.11g Wireless USB Adapter(Arcadyan Technology Corporation) (O4501U) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\O4501U.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINDOWS\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador Realtek 8169 NT (RTL8169) - Realtek Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlh86.sys

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys

O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys

O23 - Service: blbdrive - Unknown owner - C:\WINDOWS\system32\drivers\blbdrive.sys (file missing)

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brusbmdm.sys

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys

O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys

O23 - Service: Intel RAID Controller Vista (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iastorv.sys

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys

O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys

O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys

O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys

O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys

O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys

O23 - Service: megasas - LSI Logic Corporation - C:\WINDOWS\system32\drivers\megasas.sys

O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys

O23 - Service: N-trig HID Tablet Driver (ntrigdigi) - N-trig Innovative Technologies - C:\WINDOWS\system32\drivers\ntrigdigi.sys

O23 - Service: nvraid - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys

O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys

O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys

O23 - Service: SiSRaid2 - Silicon Integrated Systems Corp. - C:\WINDOWS\system32\drivers\sisraid2.sys

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys

O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys

O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys

O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys

O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys

O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys

O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys



79 Servicios.

15 de Carga Automatica.

24 de Carga Manual.

40 Deshabilitados.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: informe eliseref

Mensaje por msc hotline sat » 16 Feb 2012, 09:33

analizados los informes no es visible el proceso malware, posiblemente porque al tratarse de un Rootkit est[e corriendo en proceso ocuto.



Descarga el GMER y lanzas un escaneo, salva el informe y nos lo posteas en respuesta de este Tema:



http://www2.gmer.net/gmer.zip



saludos



ms, 16/2/2012

impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: informe eliseref

Mensaje por impulsiu » 16 Feb 2012, 16:32

-habeis borrado un post que alguien ha pegado ??? que no se de quien era



-me ha pasado el avira ya que lo tengo configurado automatico y te pego loque ha detectado









Tipo: Fichero

Origen: C:\Users\Usuari\AppData\Local\d57a4873\U\80000000.@

Estado: Infectado

Objeto en cuarentena: 23ec961e.qua

Restaurado: NO

Cargado en Avira: NO

Sistema operativo: Windows 2000/XP/VISTA Workstation

Motor de análisis: 8.02.10.02

Fichero de firmas de virus: 7.11.23.18

Mensaje: Se trata del troyano TR/Sirefef.J.637

Fecha/Hora: 16/02/2012, 16:25





Tipo: Fichero

Origen: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4TQG500O\DivxUpdate[1].exe

Estado: Infectado

Objeto en cuarentena: 4a4981e4.qua

Restaurado: NO

Cargado en Avira: NO

Sistema operativo: Windows 2000/XP/VISTA Workstation

Motor de análisis: 8.02.10.02

Fichero de firmas de virus: 7.11.23.18

Mensaje: Contiene patrones de detección del adware ADWARE/Agent.wxf.4

Fecha/Hora: 16/02/2012, 16:25





Tipo: Fichero

Origen: C:\Users\Usuari\AppData\Local\temp\2w3B92D.tmp

Estado: Infectado

Objeto en cuarentena: 521dae51.qua

Restaurado: NO

Cargado en Avira: NO

Sistema operativo: Windows 2000/XP/VISTA Workstation

Motor de análisis: 8.02.10.02

Fichero de firmas de virus: 7.11.23.18

Mensaje: Se trata del troyano TR/PWS.5.156

Fecha/Hora: 16/02/2012, 16:25





Tipo: Fichero

Origen: C:\Users\Usuari\AppData\Local\d57a4873\U\800000cb.@

Estado: Infectado

Objeto en cuarentena: 6668bb20.qua

Restaurado: NO

Cargado en Avira: NO

Sistema operativo: Windows 2000/XP/VISTA Workstation

Motor de análisis: 8.02.10.02

Fichero de firmas de virus: 7.11.23.18

Mensaje: Se trata del troyano TR/ATRAPS.Gen2

Fecha/Hora: 16/02/2012, 16:25





Tipo: Fichero

Origen: C:\Users\Usuari\AppData\Local\d57a4873\U\800000cf.@

Estado: Infectado

Objeto en cuarentena: 005ff4e2.qua

Restaurado: NO

Cargado en Avira: NO

Sistema operativo: Windows 2000/XP/VISTA Workstation

Motor de análisis: 8.02.10.02

Fichero de firmas de virus: 7.11.23.18

Mensaje: Se trata del troyano TR/Sirefef.J.615

Fecha/Hora: 16/02/2012, 16:25





Tipo: Fichero

Origen: C:\Users\Usuari\Desktop\Seguretat\sproces.exe

Estado: Infectado

Objeto en cuarentena: 4b3bfbbc.qua

Restaurado: NO

Cargado en Avira: NO

Sistema operativo: Windows 2000/XP/VISTA Workstation

Motor de análisis: 8.02.10.02

Fichero de firmas de virus: 7.11.23.18

Mensaje: Se trata del troyano TR/Graftor.6938.8

Fecha/Hora: 16/02/2012, 2:20

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: informe eliseref

Mensaje por msc hotline sat » 16 Feb 2012, 16:41

Pues aparte de que vemos que Avira tiene falsos positivos, como con nuestra utilidad SPROCES, detecta otros sospechosos que si nos los envias, pasaremoa a analizarlos y, en su caso, controlarlos .



saludos



ms, 16-2-2012

impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: informe eliseref

Mensaje por impulsiu » 16 Feb 2012, 16:53

1. si te parece los otors que dectecta el avira ya te los pasare, pero dime lo paso por correo electronico ?

2.estaba pasanro el gmer y le he dado a scan y me ha salido la pantalla azul, he podido iniciar en modo normal y me sale nota que dice que win se cerro de forma inesperado y he copiado esto



Firma con problemas:

Nombre del evento de problema: BlueScreen

Versión del sistema operativo: 6.0.6002.2.2.0.768.2

Id. de configuración regional: 3082



Información adicional del problema:

BCCode: 50

BCP1: CA980008

BCP2: 00000000

BCP3: 8BBA23CB

BCP4: 00000000

OS Version: 6_0_6002

Service Pack: 2_0

Product: 768_1



Archivos que ayudan a describir el problema:

C:\Windows\Minidump\Mini021612-01.dmp

C:\Users\Usuari\AppData\Local\temp\WER-148062-0.sysdata.xml

C:\Users\Usuari\AppData\Local\temp\WERBA58.tmp.version.txt





pero como tenia desactivado el reinicio automatico y me descargue el bluscreen te pego la pagina del bluescreen





[img]http://img689.imageshack.us/img689/3329/dibujojax.jpg[/img]



y ahora que hago ???
Última edición por impulsiu el 16 Feb 2012, 23:04, editado 1 vez en total.

impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: informe eliseref

Mensaje por impulsiu » 16 Feb 2012, 23:03

he empezado otra vez con el gmer y ha estado pasando pero como 2 horas pero como se que ha terminado ?



de golpe lo he vuelto a comenzar otra vez proque creo que ha quedado atascado y me ha vuelto a salir la pantalla azul



la pego



[img]http://img706.imageshack.us/img706/1745/dibujo1gg.jpg[/img]



finalmente creo que ha pasado el gmer pego informe, pero no veo nada que haya localizado el siresef :?:



GMER 1.0.15.15641 - http://www.gmer.net

Rootkit scan 2012-02-17 03:40:21

Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-4 ST3160215AS rev.4.AAA

Running: gqh1ovx7.exe; Driver: C:\Users\Usuari\AppData\Local\Temp\uwldypow.sys





---- User IAT/EAT - GMER 1.0.15 ----



IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdiplusShutdown] [74617817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCloneImage] [7466A86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDrawImageRectI] [7461BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipSetInterpolationMode] [7460F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdiplusStartup] [746175E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateFromHDC] [7460E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateBitmapFromStreamICM] [74648395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipCreateBitmapFromStream] [7461DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipGetImageHeight] [7460FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipGetImageWidth] [7460FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDisposeImage] [746071CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipLoadImageFromFileICM] [7469CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipLoadImageFromFile] [7463C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipDeleteGraphics] [7460D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipFree] [74606853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipAlloc] [7460687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.exe[3452] @ C:\Windows\Explorer.exe [gdiplus.dll!GdipSetCompositingMode] [74612AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)



---- Registry - GMER 1.0.15 ----



Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Users\Public\Documents\Pinnacle\Content\MotionTitles\-Looks\Standard\01 \x2013 Soft Shadow Looks.ixLook 1

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0x2E 0xE8 0xE1 0x00 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x6B 0x65 0x49 0x6A ...

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xE3 0x0E 0x66 0xD5 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\Windows\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...



---- EOF - GMER 1.0.15 ----

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: informe eliseref

Mensaje por msc hotline sat » 17 Feb 2012, 08:54

Pantalla azul provocada por el ntoskrnel.exe del VISTA, (no soportado), sin comentarios...



y el GMER indica que este el ROOTKIT:



C:\Users\Usuari\AppData\Local\Temp\uwldypow.sys



ENVIANOSLO PARA ANALIZAR, JUNTO CON LOS OTROS QUE DECÏAS:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 17-2-2012

impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: informe eliseref

Mensaje por impulsiu » 17 Feb 2012, 12:04

hola





1. el archivo que indicais C:\Users\Usuari\AppData\Local\Temp\uwldypow.sys lo busoc y no lo encuentro, podemos pasar otra herramienta para confirmar, porque no lo encuentro



2. que quiere de decir que "Pantalla azul provocada por el ntoskrnel.exe del VISTA, (no soportado), sin comentarios..."



3. despues puedo enviar por correo los archivos que detecta el avira ?



4. y el sirefef donde esta ? porque el informe lo detectaba



gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: informe eliseref

Mensaje por msc hotline sat » 17 Feb 2012, 13:09

1.- Utilizando otras herramientas aparte de las nuestras, como el AVIRA, puede haber sido eliminado por ellas



pero para este caso, sabiendo ruta y nombre, si quieres buscar con la nuestra, prueba el ELIMOVER:



[b]ELIMOVER[/b]

http://www.zonavirus.com/descargas/descargar-elimover.asp







2.- Que no damos soporte a los problemas de sistema VISTA



3.- Solo los ejecutables, y parece que solo hay este:



C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4TQG500O\DivxUpdate[1].exe





y el SPROCES que es un falso positivo del AVIRA, claro !



4.- Lo mismo que el punto 1.





saludos



ms,

impulsiu
Mensajes: 75
Registrado: 25 Ene 2005, 02:31

Re: informe eliseref

Mensaje por impulsiu » 17 Feb 2012, 13:57

pero con el elimonver que puedo o tengo que hacer ? no hay otra herramienta vuestra para saber si todavia tengo siresef en el pc , vamos como si empezaramos ahora y quisieramos mirar si tengo algo en el pc?



gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: informe eliseref

Mensaje por msc hotline sat » 17 Feb 2012, 14:58

Prueba el GMER y nos posteas el informe resultante:



http://www2.gmer.net/gmer.zip



saludos



ms, 17-2-2012

Cerrado

Volver a “Foro Software”